El ingeniero avilesino Miguel Ángel Lubián explica los ejemplos más comunes de inseguridad informática, una contingencia de la que no se libran ni los usuarios de Twitter
¿Facilitaría usted sus datos personales y bancarios a un extraño? Seguro que no. Entonces, ¿por qué entrega con despreocupación la tarjeta de crédito al dependiente de cualquier tienda para pagar sus compras? «El pago con «plástico», como el uso de otros sistemas tradicionales, es inseguro por definición. Una tarjeta de crédito tiene todo lo necesario para realizar transacciones fraudulentas en Internet: el nombre del titular, 16 dígitos y la fecha de caducidad. Es verdad que en el dorso figura el conocido CVC, pero en contra de lo que se cree esos tres números no son un código de seguridad sino de control; sirven para garantizar que los números de la tarjeta son correctos y sólo para eso», explica el ingeniero informático avilesino Miguel Ángel Lubián, socio fundador del Instituto CIES.
«El ejemplo de la tarjeta de crédito es sólo la punta del iceberg de la inseguridad tecnológica en la que vivimos», avisa este experto desde el conocimiento de causa que le da haberse especializado en un campo de trabajo cada vez más en boga: auditor de seguridad. Internet, la telefonía móvil o las decenas de aparatos electrónicos presentes en cualquier hogar son, a ojos de Lubián, «agujeros» por donde los modernos delincuentes -los «cibercacos»- se pueden colar impunemente y hacer de las suyas. La apropiación ilícita de dinero es la acción más simple en la que se suele pensar, pero el problema se complica cuando lo que se roban son datos personales y puede adquirir tintes fatales cuando el objetivo de un jaque a los sistemas informáticos es una empresa.
«La cantante Lady Gaga fue víctima de un «hackeo» en su cuenta de Twitter, Play Station Network (PSN) sufrió un robo masivo de datos y la plataforma para juegos on line de Xbox, de Sony, tuvo que admitir un problema de «phishing» (suplantación de una identidad con fines fraudulentos) que obligó a la empresa a interrumpir temporalmente el servicio… Las tres son noticias del pasado mes de abril, una muestra evidente de que nos encontramos en un contexto tecnológico en el que la seguridad es un reto pendiente. Y es importante dar seguridad porque la utilización de cada vez más servicios depende de la confianza que nos merezcan, una confianza que se tarda mucho en obtener y muy poco en perder», apunta el informático avilesino.
Las consecuencias económicas de los incidentes de seguridad que reseña Lubián han sido millonarias: 70 millones de cuentas de usuario de Play Station esperando poder conectarse para jugar on line o descargar contenidos, 330.000 usuarios españoles de PSN que habían hecho compras con tarjeta de crédito y a los que ahora se les recomienda cancelarla, una investigación abierta a Sony por la Agencia de Protección de Datos por si la multinacional hubiera incurrido en alguna infracción punible (la multa puede ser de hasta 300.000 euros)…
Los incidentes de seguridad, lejos de ser anecdóticos, se multiplican. Esta misma mañana se juzga en Avilés a un empresario para el que Nintendo pide 23 años de cárcel y 840.000 euros de indemnización por facilitar el pirateo de sus juegos con la venta de cartuchos compatibles con la popular videoconsola Nintendo DS. El avilesino argumenta en su defensa que él vende un hardware absolutamente legal y que no está en sus manos controlar lo que hacen los usuarios de esos cartuchos. O sea, que imputarlo a él por pirateo es tan descabellado como criminalizar al fabricante de cuchillos porque éstos se pueden usar como arma blanca. El telón de fondo de este litigio no es otro que la existencia -aquí también- de «agujeros» en el desarrollo de los productos de Nintendo, vías no previstas por los ingenieros de la multinacional que permiten el uso alegal de los dispositivos tecnológicos.
«Cuando se diseña un sistema, muchas veces se pone el foco en que cumpla con las funcionalidades previstas y se olvidan los aspectos relativos a la seguridad. Error. Seguridad no es sólo la protección de la información: una caída del sistema (el correo electrónico de una empresa, por ejemplo) implica una falta de continuidad del servicio y eso también es un fallo de seguridad. Por cierto, ¿cuánto tiempo podría estar una empresa sin correo electrónico, o sin página web si la utiliza como plataforma de ventas? ¿Tienen las empresas previsto un plan B si ocurre una de esas contigencias?», se pregunta Lubián invitando a la reflexión sobre la frecuente «ingenuidad» de la que hacen gala los usuarios de la tecnología.
«La inseguridad tecnológica en el ámbito doméstico no es mayor que en el mundillo empresarial: elección de claves y contraseñas de seguridad tan evidentes como fáciles de descifrar, confianza a la hora de aportar datos personales en redes cuya fiabilidad ignoramos, trabajar en ordenadores para los que no hemos hecho copias de seguridad ni de respaldo… Puede parecer una advertencia exagerada, pero dentro de unos años, cuando un disco duro casque -y todos lo acaban haciendo-, no sólo perderemos un puñado de archivos, nos quedaremos hasta sin infancia porque se habrán borrado las fotos digitales de toda nuestra vida», alerta Lubián.
A la vista de tanta inseguridad, ¿qué aconseja el experto? «Para los usuarios domésticos, cautela y desconfianza. En el caso de las empresas, es conveniente realizar una auditoría de seguridad. En un escalón superior está la posibilidad de obtener la certificación ISO/IEC 27001; Asturias, por cierto, es una de las comunidades que va en cabeza por número de empresas acreditadas. En cuanto a las administraciones públicas, tienen la obligación de generar confianza a los ciudanos; ese es el objetivo del Esquema Nacional de Seguridad que está en desarrollo desde enero de 2010. En general, dotar de seguridad los procesos será el elemento diferencial de las ventas y servicios on line del futuro porque sin confianza no habrá transacciones».
Fuente: http://www.lne.es/aviles/2011/05/03/agujeros-negros-nuevas-tecnologias/1068885.html